La ferveur de l’extraction de crypto-monnaies a récemment consommé une grande partie de l’industrie des semi-conducteurs. La demande de silicium haute performance pour exploiter ces actifs virtuels avec valeur est l’un des facteurs de la pénurie mondiale de pièces disponibles pour les ordinateurs, les automobiles, la défense, la recherche et d’autres industries. Un élément constant de l’extraction de crypto-monnaies au cours de la dernière décennie est la prévalence des machines et des appareils piratés par le biais de logiciels malveillants, communément appelés botnets. Auparavant, ces armées de machines étaient cooptées pour effectuer des attaques de bande passante contre diverses cibles, mais elles ont également été utilisées pour leurs ressources de calcul – des pièces de monnaie qui ont de la valeur pour ceux qui contrôlent le botnet. Cette semaine, Intel et Microsoft annoncent une couche de protection supplémentaire contre ce type d’attaques.

Les machines commerciales exécutant Microsoft Windows et gérées via Microsoft Defender pour Endpoint peuvent désormais être protégées contre l’extraction de crypto-monnaies CPU via un mécanisme de protection basé sur l’IA. La couche de sécurité nécessite un processeur Intel avec le bouclier matériel Intel (une technologie vPro) et la technologie de détection des menaces activée, qui a été introduite en 2018, et utilise une combinaison d’outils (tels que CPU et GPU) pour analyser le code en cours de traitement à un niveau bas niveau.

En effectuant une analyse heuristique cohérente via l’unité de surveillance des performances du processeur à un bas niveau, le système peut détecter s’il est en train d’exploiter sans le consentement du propriétaire. Cela peut être détecté via un hyperviseur compromis, une machine virtuelle ou dans le système d’exploitation directement masqué en tant que processus distinct. Si une menace est détectée, une solution de détection et de réponse Endpoint est mise en œuvre pour neutraliser l’utilitaire de minage, ou le mettre en quarantaine, et empêcher le code de se propager sur un réseau ou une flotte de systèmes gérés.

Intel indique que plus d’un milliard de processeurs peuvent activer sa technologie de détection des menaces, à partir de ses 6e Processeurs de génération et versions ultérieures – Microsoft souligne également que Defender for Endpoint avec TDT est pris en charge sur ces systèmes. Cependant, les deux sociétés cachent le fait dans une note de bas de page que la mise en œuvre spécifique de la détection Cryptomining n’est possible que sur 10e Génération et plates-formes plus récentes. Il convient également de noter que cela nécessite le bouclier matériel d’Intel, ce qui signifie que vPro est également une exigence. Ainsi, bien qu’il existe un milliard de processeurs potentiels avec un certain niveau de TDT sur le marché, cette solution particulière ne s’applique qu’aux machines vPro Windows gérées au niveau de l’entreprise. Toujours important, mais pas aussi grand que le chiffre d’un milliard proposé par Intel. Intel ne répertorie pas non plus le TDT comme une fonctionnalité sur son archive de processeur principale, ark.intel.com. Il convient également de noter que Intel TDT avec analyse de la mémoire consomme des ressources graphiques intégrées pour surveiller le système – bien que cela fournisse plus de puissance pour les tâches du processeur, cela augmente sans aucun doute la consommation d’énergie des systèmes en veille, ce qui pour les systèmes mobiles réduira la durée de vie de la batterie. Il s’agit d’un compromis ultime entre la sécurité et la durée de vie de la batterie.

Microsoft souligne que la technologie basée sur le ML utilisée dans le cadre de TDT et Endpoint for Defender est une pointe relative de l’iceberg, offrant un véhicule pour une protection plus complète contre les ransomwares ou les attaques par canal secondaire à l’avenir. Ceux-ci nécessitent des algorithmes de ML pré-entraînés sur lesquels Microsoft travaille actuellement et seront déployés dans le cadre de sa solution Endpoint for Defender.

Malgré le fait que le cryptomining de CPU bas de gamme ne vaut pas l’effort pour les utilisateurs occasionnels, pour ceux qui contrôlent les botnets de milliers de machines, cela finit par leur rapporter quelques dollars supplémentaires en utilisant l’électricité qu’ils ne paient pas, même dans les petits déploiements IoT comme les caméras de sécurité. Cependant, il existe une nouvelle classe d’extraction de crypto-monnaie qui est moins dépendante du calcul et basée sur le stockage – le système actuel implémenté par Intel et Microsoft semble se concentrer sur les offres actuelles de cryptomining basées sur le calcul. Il sera intéressant de savoir si les nouveaux algorithmes basés sur ML peuvent également détecter les nouveaux types de pièces.

Lecture connexe